ANTIFORENSICS Falso Alibi digitale Forensic meeting Roma 11 settembre 2013 Milano 12 Settembre 2013 Marco Mella
Marco Mella (ISC)² CISSP (Certified Information Systems Security Professional ) SANS CGIH (GIAC Certified Incident Handler) ITIL v3 LA ISO27001 Socio fondatore (ISC)² Italy Chapter Socio CLUSIT Socio IISFA
Antiforensics: Definizione...Anti Digital Forensics concerns an approach to manipulate, erase, or obfuscate digital data or to make its examination difficult, time consuming, or virtually impossible. Anti-Digital Forensics, The Next Challenge [John J. Barbara http://www.forensicmag.com/ ] Forensic Meeting Roma - Milano 11-12 Settembre 2013
Antiforensics: Tecniche Confondere le acque inquinare le certezze, allungare i tempi di analisi attraverso operazioni di: Cancellazione del dato. Sovrascrittura dati e metadati (WIPING). Crittografia (es.truecrypt). Cifratura comunicazione di rete (VPN, SSL). Cloud Steganografia. Data Hiding. IDS e Malware Evasion. LIVE CD. Creare false certezze «Falso Alibi» Forensic Meeting Roma - Milano 11-12 Settembre 2013
Antiforensics: Falso Alibi CONVEGNO UAE/OLAF 29 GENNAIO 2010 L obbiettivo dello studio compiuto dal TEAM dell Università di Salerno è stato quello di rendere indistinguibile l esecuzione automatica da quella manuale attraverso script residenti sul Computer. I Ricercatori hanno tentato di minimizzare le seguenti evidenze digitali indesiderate: Tracce di esecuzione di codice. Operazioni eseguite in sequenza temporizzata costante. Evidenza di cancellazioni effettuate. LE CONCLUSIONI. Pur non essendo stata trovata traccia di software in grado di generare degli automatismi o indizi di un collegamento remoto sono state individuate alcune operazioni di antiforensic (WIPING e disabilitazione dell AUDITING) seguite dalla sequenzialità delle operazioni in tempi prefissati. Questo ha portato alla conclusione che con una certa probabilità le operazioni svolte sono state compiute da un automatismo.
Antiforensics: Device? PSP, IPod, Xbox
Antiforensics: HID
Automatismo Hardware Basato su un processore Amtel che esegue comandi memorizzati su una SD Atmel 32bit AVR RISC-based MicroSD card reader Connettore standard USB Tipo A
Automatismo Hardware Esecuzione Script Script Comandi (*) Navigare su Internet Inviare una mail Scrivere un documento (es. una tesi) «scrivere» un binario
Demo
Automatismo Hardware Non ci sono script da eseguire sul computer o eseguiti dal computer. Non vi sono tracce da cancellare (*). Non c è necessità di installare SW specifico sul computer Multi piattaforma (Win, ios, Linux, Android.. )
Sniffing USB Identificazione Processore o meglio Vendor ed Idproduct Elementi di analisi HW Atmel
Sniffing USB Elementi di analisi per identificazione device. siamo certi di identificare il Vendor ID (ATMEL nel nostro caso ) Firmware (Jtag, acquisizione forense..) (art. 360 cpp?!)e
USB device Elementi di analisi per identificazione device NIRSOFT: Hub/Port: Specifies the hub number and port number that the device was plugged into. This value is empty for mass storage devices.
Forensic Meeting Roma Milano 11-12 Settembre 2013
Altri usi Posso utilizzare il modem del computer o di un cellulare per fare una «telefonata» perchè no. inviare un SMS Utilizzare il sistema per attaccare un sistema informatico (magari critico) Penetration test
Hardware Antiforensics Ma io ho l antivirus il FW ed il sistema di IDS/IPS Praticamente inutile per rilevare un simile attacco (visto che abbiamo installato una tastiera)
Antiforensics Programmable HID ScanCode Forensics Station
Antiforensics HW Il diavolo fa le pentole ma non i coperchi Timing, mouse, controllo errori, condizioni.
Pentesting & Antiforensics Attenzione se qualcuno si siede al vostro terminale. Chiavetta (?) incustodita (classic) L HW potrebbe essere nascosto in device insospettabili (es. mouse, Printer) ma si sequestrano ancora i mouse, tastiere.? Art.253 Oggetto e formalità del sequestro 1. L autorità giudiziaria dispone con decreto motivato il sequestro del corpo del reato e delle cose pertinenti al reato necessarie per l accertamento dei fatti (81 att.; 10 reg.). Percezione dell HW? Profiling persona
Grazie Marco Mella (ISC)² CISSP (Certified Information Systems Security Professional ) SANS CGIH (GIAC Certified Incident Handler) ITIL v3 LA ISO27001 Socio fondatore (ISC)² Italy Chapter Socio CLUSIT Socio IISFA